Hvorfor vi ikke bør vite våre egne passord

Siden 2009, amerikanske toll- og grensebeskyttelsesagenter har fått lov til å søke elektroniske enheter gjennomført av innbyggerne eller noncitizens som de krysser grensen til USA fra andre land. Mer nylig foreslo Homesikkerhetssekretær John Kelly at denne digitale vetting også bør omfatte høsting av sosiale medier passord. Kellys forslag oppfordret juridiske og teknologiske eksperter til å svare med en åpent brev uttrykker dyp bekymring for enhver politikk som krever at enkeltpersoner bryter med "første regel for elektronisk sikkerhet": Ikke del passordene dine. Den Conversation

Reisende selv reagerte også, leter etter måter å unngå å overgi sine enhetspassord til føderale agenter. En tilnærming - det vi kan kalle "ingenting å se her" -metoden - prøver å gjøre en enhet usøkbar av slett harddisken før du reiser, avinstallere sosiale medier apps, la enhetens batteriladning løpe ut eller til og med tørke enheten hvis en nødsituasjon eller "tvang" passord ble oppgitt.

"Jeg vil gjerne forholde seg, men jeg kan ikke" nærmer seg eksotiske løsninger som å installere tofaktorautentisering på enheten eller sosiale medier-kontoen, og deretter lage den andre faktoren (for eksempel et passord eller en digital nøkkel) Kun tilgjengelig på en ekstern plassering. Å hente den andre faktoren ville kreve en warrant og reise utenfor grensekrysset.

Disse metodene er farlige fordi de setter en allerede stresset reisende i stand til å tåle lovhåndhevelse ved grensen, a juridisk miljø som er utformet for å støtte regjeringen og ikke den reisende. Etter dette rådet krever også nøye utførelse av tekniske ferdigheter som de fleste reisende ikke har. Og graden av forhåndsplanlegging og forberedelse som kreves, kan selv betraktes som et tegn på mistenkelig aktivitet som krever dypere gransking av grensemyndighetene.

Men det er fristende å lure på: Kunne datavennere og programvareutviklere som meg skape et bedre passord? Kan vi lage "Jeg vil gjerne overholde, men jeg kan ikke" det eneste mulige svaret for alle reisende? Kort sagt, kan vi lage passord selv deres eiere ikke vet?

innerself abonnere grafikk

Søket etter det ukjente passordet

Utvikling av ukjennbare passord er et aktivt område for sikkerhetsforskning. I 2012 utviklet et team fra Stanford University, Northwestern University og SRI Research Center et system for bruk av et dataspill som ligner på "Guitar Hero" til Tren den underbevisste hjernen for å lære en rekke tastetrykk. Når en musiker husker hvordan man spiller musikk, trenger hun ikke å tenke på hver notat eller sekvens. Det blir en ingrained, trent reaksjon som kan brukes som et passord, men nesten umulig selv for musiker å stave notat ved notat, eller for brukeren å avsløre brev for brev.

I tillegg er systemet utformet slik at selv om passordet er oppdaget, er angriperen ikke i stand til å taste inn tastetrykkene med samme fluiditet som den trente brukeren. Kombinasjonen av tastetrykk og enkel ytelse unikt knytter passordet til brukeren, samtidig som brukeren frarøver å huske noe bevisst.

Dessverre, i grenseoverskridelsen, kan agenten kreve at reisaren låser opp enheten eller applikasjonen ved hjelp av det ubevisste passordet.

Et team ved California State Polytechnic University, Pomona, foreslo en annen løsning i 2016. Deres løsning, kalt Chill-pass, måler en persons unike hjernekjemirespons mens du lytter til hennes valg av avslappende musikk. Denne biometriske reaksjonen blir en del av brukerens innloggingsprosess. Hvis en bruker er under tvil, vil hun ikke kunne slappe av nok til å matche sin tidligere målte "chill" tilstand, og innloggingen vil mislykkes.

Det er uklart om CBP-agenter vil kunne beseire et system som Chill-Pass ved å gi reisende med, si massasjestoler og spabehandlinger. Likevel vil stressene i det daglige livet gjøre det upraktisk å bruke denne typen passord regelmessig. Et avslapningsbasert system vil være mest nyttig for folk som driver høytstående oppdrag der de frykter tvang.

Og akkurat som med andre planer om å gjøre CBP-gransking umulig, kan dette ende opp med å tiltrekke seg mer oppmerksomhet til en reisende, enn å oppfordre offiserer til å gi opp og gå videre til neste person.

Kan du score sikkerhet?

I 2015 annonserte Google Prosjekt Abacus, en annen løsning på "Jeg ville elske å oppfylle, men jeg kan ikke" problemet. Den erstatter det tradisjonelle passordet med "Trust Score", en proprietær cocktail av egenskaper som Google har bestemt, kan identifisere deg. Poengsummen inkluderer biometriske faktorer som typemønstre, ganghastighet, stemmemønstre og ansiktsuttrykk. Og det kan inkludere posisjonen din og andre uspesifiserte elementer.

Kalkulatoren for Trust Score kjører kontinuerlig i bakgrunnen av en smarttelefon eller annen enhet, oppdaterer seg med ny informasjon og beregner poengsummen i løpet av dagen. Hvis Trust Trust-verdien faller under en viss grense, si ved å observere et merkelig typemønster eller et ukjent sted, vil systemet kreve at brukeren oppgir tilleggsautentiseringsinformasjon.

Det er uklart hvordan en autentisering av Trust Score kan påvirke et grensesøksøk. En CBP-agent kan fortsatt kreve at en reisende låser opp enheten og dens apps. Men hvis byrået ikke kunne deaktivere Trust Score-systemet, ville telefonens eier måtte ha lov til å holde enheten og bruke den gjennom agentens inspeksjon. Hvis noen andre prøvde å bruke det, kunne den konstant omregnede Trust Score falle, og låste ut en etterforsker.

Den prosessen ville i det minste sikre at telefonens eier visste hvilken informasjon føderale agenter samler inn fra telefonen. Det har ikke vært mulig for noen ankommer reisende, inkludert Amerikanske statsborgere og til og med offentlige ansatte.

Men Trust Score-systemet gir mye kontroll i hendene på Google, et for-profit selskap som kan bestemme - eller kunne bli tvunget - Å gi regjeringen en vei rundt den.

Så hva nå?

Ingen av disse teknologiske løsningene på passordproblemet er perfekt, og ingen av dem er kommersielt tilgjengelig i dag. Inntil forskning, industri og innovasjon kommer opp med bedre, hva er en digital alder reisende å gjøre?

Først ikke lyver for en føderal agent. Det er en forbrytelse og vil definitivt tiltrekke mer uønsket oppmerksomhet fra etterforskerne.

Deretter bestemme hvor mye ulempe du er villig til å tolerere for å være stille eller nekte å overholde. Noncompliance vil ha en kostnad: Dine enheter kan bli beslaglagt, og reisen din kan bli alvorlig forstyrret.

Uansett, hvis og når du blir spurt om dine sosiale medier håndterer eller passord, eller for å låse opp enhetene dine, må du være oppmerksom og huske så mange detaljer som mulig. Deretter, hvis du ønsker, varsl deg en digital sivile frihetsgruppe som dette skjedde. Electronic Frontier Foundation har en nettside med instruksjoner for hvordan du rapporterer enhetssøk ved grensen.

Hvis du mener at sensitive materialer kan ha blitt kompromittert i søket, varsler du familie, venner og kolleger som kan bli påvirket. Og - til vi finner ut en bedre måte - endre passordene dine.

Om forfatteren

Megan Squire, professor i datavitenskap, Elon University

Denne artikkelen ble opprinnelig publisert på Den Conversation. Les opprinnelige artikkelen.

Relaterte bøker

at InnerSelf Market og Amazon